Mijn school-wifi-wachtwoord bestaat uit 33 tekens. Een van mijn klasgenoten keek alsof ze een onontdekte dierensoort tegenkwam toen ze het mij zag invullen op een laptop. "Waarom heb je zo'n debiel lang wachtwoord?", vroeg ze. "Je hebt toch niets te verbergen?"

Bah. Diep van binnen borrelde een soort zuur op na het horen van dat zinnetje. Want je hebt wel wat te verbergen. Maargoed, zelfs als je een open boek bent, is gehackt worden niet leuk. Je bent dan misschien geen Trump die publiekelijk ten schande wordt gemaakt, maar je identiteit kan bijvoorbeeld wel gestolen worden. Hoe voorkom je dat nou? Tja, om dat uit te leggen moet ik eigenlijk een volledige cursus cybersecurity geven…

Dus.

Let's do it.

De eerste verdedigingslinie

Het wachtwoord is de eerste – en vaak enige – verdedigingslinie die criminelen ervan weerhoudt om jouw online gegevens te jatten. Ik ga ervan uit dat iedereen inmiddels weet dat '123' of 'qwerty' niet echt verstandige keuzes zijn. En we kennen allemaal die vreselijk irritante criteria: minstens één hoofdletter, twee speciale tekens, geen 'echte' woorden, en ga zo nog maar even door. Hebben we na het volgen van al die criteria dan een sterk wachtwoord gecreëerd? Nou, eigenlijk niet.

Computers worden steeds beter in het kraken van wachtwoorden. Eentje van 7 tekens met alles erop en eraan? Gekraakt in 31 minuten. Nog minder tekens? Gekraakt in een paar seconden. Ik begrijp heel goed dat niemand zin heeft om een wachtwoord van tientallen tekens te onthouden (en nee, zo goed is mijn geheugen ook niet). Sterker nog, eigenlijk behoor je één wachtwoord PER account te hebben. Anders liggen bij een gegevenslek alsnog al je data op straat.

Wat kun je dan wel doen? Ik verwijs altijd naar het volgende citaat van Troy Hunt, een medewerker bij Microsoft: "The only secure password is the one you can't remember." Hij heeft helemaal gelijk. Wachtwoorden moet je niet willen bedenken, die kun je veel beter laten genereren door een wachtwoordkluis. Dat is een programmaatje dat wachtwoorden voor je bedenkt, onthoudt, versleutelt én invult. Ik gebruik zelf Dashlane, maar ik heb ook goede verhalen gehoord over LastPass en 1Password.

Tweestapsverificatie

Tweestapswatte? Laat ik het simpel uitleggen. Als je je aanmeldt met alleen een wachtwoord, dan is er één ding dat hackers moeten kraken om in je account te komen. Vul je naast het wachtwoord ook nog een code in, die je bijvoorbeeld op je mobieltje ontvangt, dan moet een kwaadwillende twee hindernissen overbruggen: tweestapsverificatie.

De computerwereld onderscheidt drie vormen van manieren om je te identificeren:

1. Iets dat je weet (een wachtwoord)
2. Iets dat je hebt (een mobieltje waarop je een code ontvangt)
3. Iets dat je bent (een vingerafdruk)

Als je twee van deze dingen combineert, heet dat officieel tweestapsverificatie. Ik durf te wedden dat je het stiekem al gebruikt. Als je geld pint bijvoorbeeld: je pincode is iets dat je weet (1) en je bankpas is iets dat je hebt (2). Nu is het zaak om tweestapsverificatie (afgekort 2FA) op zo veel mogelijk accounts in te stellen, want tweestapsverificatie maakt het bijna onmogelijk om in te breken.

Ik begrijp heel goed dat je misschien niet bepaald staat te springen om meteen wachtwoorden van 33 tekens in te stellen, een wachtwoordkluis aan te maken en twee- (of zelfs drie-)stapsverificatie in te stellen. Maar denk wel eens net wat langer na over je online veiligheid, want gehackt worden, dat wil volgens mij niemand.